Le 02/02/16 à 12:09, Sébastien NOBILI <sebnewslet...@free.fr> a écrit :
SN> Bonjour,
SN>
SN> Le mardi 02 février 2016 à 11:34, andre_deb...@numericable.fr a écrit :
SN> > SELECT DISTINCT email, prenom, famille, ville FROM table
SN> > WHERE MATCH (email, prenom, famille, ville)
SN> > AGAINST ('+$brief[0] +$brief[1] +$brief[2]' IN BOOLEAN MODE)
SN>
SN> Attention aux concaténations de chaînes de caractères lors de
l'initialisation
SN> d'une requête, c'est souvent par là qu'arrivent les injections SQL…
Oui, si ton code est du php regarde coté PDO ça va te faciliter la vie en
écrivant des choses
comme
$query = 'SELECT DISTINCT email, prenom, famille, ville FROM table
WHERE MATCH (email, prenom, famille, ville)
AGAINST (:recherche IN BOOLEAN MODE)'
$params = array(
':recherche' => $brief[0] .$brief[1] .$brief[2]
);
$resultats = uneFct($query, $params);
(où uneFct enveloppe un appel à PDO et retourne un tableau, à adapter à tes
besoins)
Autre remarque, en php la concaténation c'est . et pas +, si $brief[xx] est une
chaîne ton
$brief[0] +$brief[1] +$brief[2] vaut toujours 0
--
Daniel
L'argent a rendu l'homme esclave et
personne ne fera de l'argent son esclave.
Gilles Olive
